Die AutoElevate Software wird als „ AutoElevate System Agent“ bezeichnet und auf jedem Computer installiert. Sie überwacht, meldet und reagiert auf alle UAC-Berechtigungsereignisse und LOTL-Angriffe. Der AutoElevate Agent arbeitet entweder im Audit-, Policy- oder Live- Elevation-Modus. Zusätzlich gibt es Blocker-Modi, die entweder deaktiviert, im Audit- oder im Live- Modus arbeiten. Nach der Installation werden die Agenten standardmäßig im Audit- Modus für Elevation und deaktiviert im Blocker-Modus aktiviert. Diese Variable kann im Bereitstellungsskript geändert werden.

So ändern Sie die Höhenmodi

Aktivieren Sie im Admin-Portal ( https://msp.autoelevate.com ) auf der Registerkarte „Computer“ das Kontrollkästchen neben den Computern, die Sie ändern möchten. Wählen Sie anschließend im Menü „Aktionen“ unter „Erhöhungsmodus“ die Option „Erhöhungsmodus auf Live, Audit oder Richtlinie festlegen “ aus. Sobald der Agent die Einstellung übernimmt (alle 10 Minuten), können Sie mit dem Testen beginnen. Klicken Sie oben rechts auf „Daten aktualisieren“, um die Ansicht zu aktualisieren. Prüfen Sie anschließend in der Spalte „Agentenmodus“, ob die Agenten die neue Einstellung übernommen haben. Siehe Abbildung unten im Menü „Aktionen“:

Definition der Höhenmodi

• Audit – Alle UAC-Ereignisse werden protokolliert, der Agent reagiert jedoch nicht auf definierte Regeln und wendet diese auch nicht an. Daher ändert sich das Benutzererlebnis nicht.
  
• Richtlinien – Der Richtlinienmodus wendet alle definierten Regeln an und verarbeitet sie. Bei Ereignissen ohne entsprechende Regel wird jedoch NICHT die Echtzeit-Auswertung gestartet, sondern die Benutzerkontensteuerung angezeigt. Der Richtlinienmodus ermöglicht Ihnen das Erstellen und Anwenden von Regeln für kritische Anwendungen mit unmittelbarem Nutzen. Benutzer oder Techniker werden jedoch nicht aufgefordert, unbekannte Informationen zu bewerten.
  
• Live – Alle UAC-Ereignisse werden abgefangen und die definierten Regeln angewendet (entweder mit Privilegien erhöhen oder blockieren). Bei Ereignissen ohne entsprechende Regel hat der Endbenutzer die Möglichkeit, eine Berechtigungsanfrage zu stellen. Die Berechtigungsanfrage führt dazu, dass ein Techniker mit Unternehmenszugriff benachrichtigt wird und ein Ticket öffnet (sofern Sie über ein integriertes PSA-Ticketsystem verfügen). Der Techniker erhält Informationen darüber, wer die Anfrage stellt, was sie anfordert, wie die grundlegende Sicherheitslage des Rechners aussieht und ob die gewünschte Anwendung oder Aktion sicher ist. Außerdem kann er in Echtzeit auf die Benutzeranfrage reagieren.
  
  

So ändern Sie den Blockermodus

Aktivieren Sie im Admin-Portal ( https://msp.autoelevate.com ) auf der Registerkarte „Computer“ das Kontrollkästchen neben den Computern, die Sie ändern möchten. Wählen Sie anschließend im Menü „Aktionen “ unter „Blockermodus“ die Option „Blockermodus auf Live, Audit oder Deaktiviert setzen“ aus. Sobald der Agent die Einstellung übernimmt (alle 10 Minuten), können Sie mit dem Test beginnen. Klicken Sie oben rechts auf „Daten aktualisieren“, um die Ansicht zu aktualisieren. Prüfen Sie anschließend in der Spalte „Blockermodus“, ob die Agenten die neue Agentenmodus-Einstellung übernommen haben. Siehe folgende Abbildung im Menü „Aktionen“:

Hinweis: Diese Modi finden Sie im Aktionsmenü des Computerbildschirms. Weitere Informationen zum Blocker finden Sie hier.

Blockermodi definiert

• Deaktiviert – Der Filtertreiber des Agenten ist nicht installiert oder wurde deinstalliert, falls er bereits installiert war. Daher wird in diesem Zustand kein Windows-Prozess überwacht und keine vorhandene Blocker-Regel angewendet. Da der Blocker deaktiviert ist, ändert sich das Benutzererlebnis nicht.
   
• Audit – Der Filtertreiber des Agenten ist installiert. Windows-Prozesse für Binärdateien, die bei LOTL-Angriffen verwendet werden, werden überwacht und ihre Nutzung analysiert, um Blocker-Empfehlungen zu generieren. Der AE-Agent wendet keine definierten Blocker-Regeln an, daher ändert sich das Benutzererlebnis nicht.
   
• Live – Der Filtertreiber des Agenten ist installiert. Windows-Prozesse für Binärdateien, die bei LOTL-Angriffen verwendet werden, werden überwacht und ihre Nutzung analysiert, um Blocker-Empfehlungen zu generieren. Der AE-Agent blockiert oder erlaubt Windows-Prozesse basierend auf definierten Blocker-Regeln.
  
  

Technikermodus

Dies ist ein spezieller Modus, der es Technikern vor Ort ermöglicht, mit den UAC-Eingabeaufforderungen des Computers zu interagieren. Eine ausführlichere Erklärung finden Sie in der Dokumentation zum Technikermodus auf unserer Support-Website. So sieht die Einstellung im Aktionsmenü des Computers aus:

Die AutoElevate -Agent-Komponenten

Die Komponenten, aus denen der Systemagent besteht, sind der AutoElevate -Agent-Dienst, der so eingestellt ist, dass er beim Windows-Start automatisch gestartet wird und dann die Anwendungen AEAlert und AEUACAgent öffnet, sobald sich ein Benutzer anmeldet. Wenn der AutoElevate -Agent-Dienst gestoppt wird, nimmt der Computer die Standard- und UAC-Funktionalität wieder auf und UAC-Ereignisse werden nicht mehr verfolgt.

Ausführlichere Anweisungen zu den Bereitstellungsoptionen des Agenten finden Sie im Dokument zur System-Agent-Installation .

Die AutoElevate Blocker-Komponente

Die Komponente, aus der der Blocker besteht, ist die Anwendung AEAutoBlocker . Diese wird ausgeführt, sobald der Blocker im Audit- oder Live-Modus aktiviert ist. Der Filtertreiber wird ebenfalls erst installiert, wenn der Blocker aktiviert ist. Weitere Informationen finden Sie hier: Blocker verwalten .

So aktualisieren Sie den Agenten

Updates werden je nach Status Ihres Mandanten automatisch bereitgestellt. Um den Agenten zu aktualisieren, gehen Sie im Menü „Aktionen“ des Bildschirms „Computer“ wie folgt vor: